suchung von Gesundheits-Apps zahlreiche Sicherheitslücken
            festgestellt. Keine der untersuchten Apps hat dabei die Sicher-
            heitsanforderungen der BSI-Richtlinie für Gesundheits-Apps
            vollständig erfüllt. Da diese Anwendungen naturgemäß sen-
            sible und besonders schützenswerte Personendaten verarbei-
            ten, ist dies datenschutzrechtlich sehr bedenklich. Doch welche
            Anforderungen genau müssen Gesundheits-Apps in puncto
            Datenschutz und Datensicherheit erfüllen?

            Hintergrund

               Daten, die die Gesundheit einer Person betreffen, sind be-
            sonders sensibel und damit auch besonders schutzbedürftig.
            Die Datenschutz-Grundverordnung (DS-GVO) definiert Ge-
            sundheitsdaten in Artikel 4 Nr. 15 DS-GVO: „Gesundheitsdaten“
            [sind] personenbezogene Daten, die sich auf die körperliche
            oder geistige Gesundheit einer natürlichen Person, einschließ-
            lich der Erbringung von Gesundheitsdienstleistungen, bezie-
            hen und aus denen Informationen über deren Gesundheits-
            zustand hervorgehen“ und stellt diese in Artikel 9 unter einen
            besonderen Schutz. Das ist nicht verwunderlich, denn solche
            Daten betreffen unsere Intimsphäre – wer welche Beschwer-
            den oder Krankheiten hat, geht außer den Betroffenen nie-
            manden etwas an. Gleichzeitig sind Gesundheitsdaten sehr
            wertvoll: Ärzte können gezielter handeln und Fehlbehandlun-
            gen vermeiden, Forschende können nach Krankheitszusam-
            menhängen und besseren Behandlungsmöglichkeiten suchen.
            Doch auch die Werbebranche kann viel Geld durch Gesund-
            heitsdaten verdienen, indem sie möglichst passgenaue Pro-
            dukte vorschlägt. Auch dass Kriminelle Daten illegal verkaufen
            („Datenklau“), ist leider keine Seltenheit mehr.

               Entsprechend der Sensibilität der Daten werden an DiGA
            hohe Anforderungen an den Datenschutz und die Datensi-
            cherheit gesetzt. Es ist aber zu beachten, dass nicht alle Daten,
            die im Kontext von Gesundheits-Apps verarbeitet werden, Ge-
            sundheitsdaten sind. Die Unterscheidung zwischen Gesund-
            heitsdaten nach Art. 9 DS-GVO und „normalen“ personenbe-
            zogenen Daten hat vor allem Auswirkungen auf die mögliche
            Rechtsgrundlage bei deren Verarbeitung.

            Datenschutzrechtliche Anforderungen

               Bei der Verarbeitung personenbezogener Daten sind die
            DS-GVO, das Bundesdatenschutzgesetz (BDSG) sowie zahl-
            reiche bereichsspezifische Regelungen zur Zulässigkeit und
            Verarbeitung von Gesundheitsdaten zu beachten. Solche spe-
            ziellen Regelungen finden sich unter anderem in den Sozialge-
            setzbüchern, im Infektionsschutzgesetz, im Medizinprodukt-
            gesetz und auf Landesebene im Landesgesundheitsgesetz.
            Zusätzlich konkretisiert und ergänzt die Gesundheitsanwen-
            dungen-Verordnung (DiGAV) die Anforderungen der DS-GVO.

               Die Verarbeitung von personenbezogenen Daten ist nur
            erlaubt, sofern eine Rechtsgrundlage nach der DS-GVO vor-
            liegt. Zusätzlich stellt Art. 9 Abs. 1 DS-GVO ein grundsätzliches
            Verbot der Verarbeitung von Gesundheitsdaten auf, sodass
            solche nur aufgrund spezieller Rechtsgrundlagen verarbeitet
            werden dürfen. Zentrale Vorschriften sind Art. 9 Abs. 2  DS-GVO
            bzw. § 22 BDSG. In der Praxis ist somit meist die Einwilligung




      12    SPECIAL_1/2022  IT-SICHERHEIT IM KRANKENHAUS